万方数据 基于DFI和DPI技术的异常流量监控4丽峭安宝技7代辅瘦用2009．1O前嚣l摹予DFl(DeepInspect)的异常漉鏊检测1．1攻击与蠕虫传播的流量检测P2P流量检测P2P流量的统计特征P2P流鏊的{亏为模式特酝P2P流肇拎测效果释疑1．3异常特觚的f{动提取绿盟辩技王羹窳攘黉：本文酸撩述异常流鬣羧控的应用场景人手，洋细解释了蒸手DFI和DPI的睡种辩常流量捡溯学段，并遴纷了对毙分析。然后提出了一种全新的异常流量控制方案的技术设想。关键词：DFIlDPI，异常流量；流量监控；应用殿访问控制策略随籍企业各种应用系统的建设和完善，SNMP采集的信怠无法攥绘流量豹纲嚣转薤，魄翔菜静应鹅占鬟总豢觉多少?某个IP地址的网络用量是参少?运维人员要想知道这类问题的答案，需要通过采集实际流量的方式进行统计。甄对近年秉瓣络攻击鹜戆季羲繁豹趋势，哭统谴鬣常应雳流鐾黪跑例也无法满足运维需求了。对肄常流量进行分析监控成为流量分析系统主要功能。Flow基爹DFI的捡测技术一令童要优势就是可以高效准确昀捡溅密鬻络攻击秘蠕虫传播。糕这里硼密这个标题，楚为了论述体系的完整性。因为DFI技术在这方丽的应用涉及的问题比较多，需要单独成文论述，所以关于这个方蘧的梭测原理详凳本稍箭一朝审《电信lP绢络异常流豢及其辁耩》。1．2由乎泷数据(Netflow或sFlow)是经过渡二聚豹且通常郝是擒样产搬的，数据义仪包含fP鼷信息丽没裔应用层信怠。因此很多人对基于DFI的P2P检测技术抱有一定成见，认为它不一定能缀准确的捻测剑P2P潍蹩。然薅实际情况却楚嬲乎这些入的意科，DFI技术不仅可以榆测P2P流堡，丽且稔溯盼准确度还相当高。这是因为P2P流量与其它网络应用甜鲜明的区别，针对这些特链进亍亍综念检测，便霹以准确的检测出P2P流爨。1．2．1(1》流量大，缝螽。2／8原翼g”：P2P漉量一般都会远远太手其它应糟类型的流爨，统汁结果通常会出现20％的lP地城所襁关的流蹙占到全部流量的800／0，即符合所渭的“2／8原则”。(2)并发端口数量：在一个终端￡运豁P2P应用投廖之前，屠netstat命令梭查网络状态，可以看戮阔时抒并的端瞪一般在lO～15个之间，如果启动P2P应用程序以后，再次检查潮络状态，可以嚣到打秀的端口数量一下激增到100多个。《3)端暖变纯率：由于最多P2P应用襁侉为了遘避流量控制，念使用端口跳变技术，劝态的变更通讯端口，因此造成端日变化率长时间保持很高的数值。(4)妊卦特征德：由于P2P下鼗盼虢纛舔会蘑一些映省的瑞口与其它端点通讯，通过分析流记录可以找别这些被高度疑似P2P端点间的拓扑犬系，并使用一个人工定义的拓扑赘鬃疆来篱量这整强羚关系。当特薤壤这蠲一定承擎，鬻哥确认该主机为P2P端点。(5)封包字节数大：为了提高传输效率，P2P流量的封包字骛数蒸会缀失，除了纂擎P2P酶1P漤蠹包，一般P2P-F载的数据包至少都在1200字节左右，这跫与其它应用另一个明避的差异。l。2。2(1)大量奄闲连接：P2P端点通常都会有很多空闲连接，在流记录上就表现为很多流蹩非常少的记录。《2》UDP／TCP菸稃：有些骛豫酶应用，懿DNS，NETBIOS，IRC，游戏和多媒体业务流嫠等，这些应用都有特怒的瑞口，如135，137，139，445，53，353l等，可以通过端口匹配派嬲这些漉爨。(3)同时充当客户端和服务器(角色分析)：通常服务器的邋讯模式是接收资源请求信息，然后搬供相应的数据资源。藤数据资源麓浚藿大枣一般郝远运大子请求绉塞戆溅鐾。因此，如果一个燕机输送出的数据远远大平接受到的数据，我们就可以判断这个主机的角色是“服务器”。反之，则是“客户壤”。P2P端爨接毂衣发送瀚漉量建乎大零襁当，鞠琵霹暖看作是同时充当“客户端”和“服务器”。1．2．3基于DFI斡P2P裣灞，不豫基于DPI裣嚣鄂样对P2P流量进行更细致的分类，甚象可以按照不同的P2P客p端软件进行分类。这餐t去似乎慰DFI技术的一个缺陷，瓤实际￡舞{}期瑟。骧戮楚蠢些P2P客户漆软绛，釜然名称举溺，毽使用的P2P协议鼹相同的，成者软件的核心代码是相同的。所以按照不同的软件对P2P协议进行分类没真太大意义。另外，捻溯P2P流量疆鲶是控翱这糖流量，舔瓣流量雯译鬃的分类，无助于灵活准确的控制。基于DFI的检测技术，还可以用予提敷类壅泰躺的舜常流髓的特征。往实际流量榱测过程中，可能会遇到突发流量激增的情况，倪是现有的捻测算法又无法确认异常类登。这种情况下霹蔽使糟“异常特疆提取援术”，耨流量祷征提取出 万方数据 硼．1廒圆量安呈技7ft与癯用52基fDPI的异常流量检测2．1应用层攻击检测2．2非法业务的i,L{刖3异常流肇的控制手段3．1流量清洗3．2行为验证3．3访问控制策略3．4黑洞路由3．5干